Мобильный банкинг – легкий способ стать жертвой

05.03.2013

Идет активное развитие мобильных технологий, современные требования бизнеса таковы, что доступ к информации должен осуществляться быстро, надежно и из любой точки мира. Платежные приложения не являются исключением, и они постепенно появляются на наших смартфонах и планшетах. Мобильные устройства пока еще недостаточно изучены, и каждая мобильная ОС (Android, iOS, Windows Phone, Symbian, BlackBerry и т.п.) имеет свою специфику, поэтому в каждой из них можно обнаружить большое количество как новых уязвимостей, так и хорошо известных.

Исследовательский центр Digital Security представляет общественности результаты тестирования безопасности приложений для мобильного банкинга. Этичные хакеры в течение года препарировали мобильные платежные приложения более чем от 30 российских банков. «Мы не стоим на месте и стараемся делать сегодня то, что будет востребовано завтра», – говорит Дмитрий Евдокимов, исследователь из Digital Security.

Результаты исследования подтверждают тенденцию, отмеченную экспертами в традиционных ежегодных отчетах по исследовательской работе в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.

Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS – одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.

«У злоумышленников есть множество путей реализации атак. При этом затраты на проведение атаки могут в реальной среде быть весьма низкими по сравнению с возможной выгодой», – предрекают эксперты Digital Security.

«Надеюсь, что результаты этого исследования привлекут внимание банковских CISO к актуальным проблемам безопасности мобильных технологий. Проверка защищенности клиентских приложений методом статического анализа бинарного кода, проведенная нашим исследовательским центром, покрывает в лучшем случае 30% от общего фронта работ по анализу защищенности мобильных приложений, однако серьезные проблемы очевидны уже сейчас. Разработанный нами в процессе исследования внутренний инструмент анализа кода мы планируем в дальнейшем использовать для повышения качества услуг, которые мы предоставляем клиентам», – говорит директор Digital Security Илья Медведовский.

Полную версию исследования можно скачать здесь. Кроме того, его основные результаты будут представлены 13 марта на конференции PCI DSS Russia. Регистрация еще открыта, так что присоединяйтесь!